L’autorité suédoise de protection des données sanctionne quatre entreprises pour transfert illégal
Par 4 décisions rendues simultanément le 3 juin 2023, l’autorité suédoise de protection des données (IMY) a condamné quatre entreprises utilisatrice de Google Analytics, en infligeant une amende à deux d’entre elles et en leur ordonnant à toute de cesser leur utilisation du logiciel.
En octobre 2020, l’association None of your business (NOYB) déposait une plainte contre 101 entreprises de l’Union européenne pour transfert illégale de données à caractère personnelle aux entreprises Google et Facebook. Ces deux sociétés sont tenues aux Etats-Unis, en vertu de la loi FISA, section 702, de mettre ces données à la disposition des agences de renseignement tel que la NSA.
Or, selon le RGPD, les données personnelles peuvent être transférées vers des pays tiers, extérieurs à l’Union européenne, si la Commission européenne a au préalable décidé que le pays en question présente un niveau de protection adéquat à celui de l’UE. Du fait notamment de la loi FISA 702, la CJUE a décidé, dans l’arrêt Schrems II, que les États-Unis ne pouvaient pas être considérés comme accordant un tel niveau de protection.
Néanmoins, les données peuvent être transférées sur le fondement de clauses contractuelles types, encadrées par la Commission européenne. Toutefois, la CJUE impose que ces clauses contractuelles types soient complétées par des garanties supplémentaires s’il est nécessaire de garantir en pratique la sécurité des données concernées.
Suite à ces plaintes, l’autorité de protection des données suédoise a contrôlé, via un audit, la manière dont les entreprises en cause transféraient des données à caractère personnel aux États-Unis par l’intermédiaire de l’outil d’analyse de Google.
D’une part, l’autorité suédoise considère que les données transférées aux États-Unis via l’outil statistique de Google sont des données à caractère personnel dès lors qu’elles peuvent être liées à d’autres données transférées et permettre l’identification de la personne concernée. D’autre part, l’autorité considère que les mesures de sécurité technique prises par les entreprises ne sont pas suffisantes pour assurer un niveau de protection suffisant prescrit par la CJUE.
L’IMY inflige une amende administrative de 12 millions à la société Tele2 et de 300 000 à la société CDON. De plus, l’autorité ordonne aux trois autres entreprises de cesser d’utiliser l’outil.
Pour en savoir plus :
